Artikkel 4(14) GDPR
Behandling av personopplysninger ved bruk av ansiktsgjenkjenning
Reglene for behandling av personopplysninger ved bruk av ansiktsgjenkjenning er strenge, da de inkluderer biometriske data, som utgjør sensitive personopplysninger.
Hva er biometriske data?
Når et selskap bruker ansiktsgjenkjenningsteknologi, behandles biometriske data. Definisjonen av biometriske data er angitt i artikkel 4 nr. 14 i GDPR. Teknikken innebærer behandling av en persons fysiske egenskaper (ansiktsgeometri) for å bekrefte identifikasjonen av en person.
Den biometriske malen opprettet av et ansikt og bestående av en numerisk kode er en biometrisk data, selv om bare en AI-modell kan lese den. Dette er fordi det er unikt og kan bekrefte, eller alternativt aktivere, identifikasjon av en person. I tillegg er det et spørsmål om biometriske data dersom behandlingen utføres med det formål å identifisere en fysisk person.
Biometriske data er sensitive personopplysninger
Biometriske data utgjør sensitive personopplysninger i henhold til artikkel 9 i GDPR. Behandling av slike spesielle kategorier av personopplysninger er forbudt som en generell regel, men det finnes unntak. Vær imidlertid oppmerksom på at reglene er strengere ved behandling av sensitive personopplysninger.
Nettsted for lagring av biometriske data
Ifølge EDPB er den beste lagringsløsningen for behandling av biometriske data i den registrertes egne hender. Med andre ord, til enheten i besittelse av den enkelte. Et annet alternativ er å ha lagringen i en sentral database. Det er imidlertid bare den registrerte som skal ha tilgang til krypteringsnøkkelen. I tillegg er det viktig å sikre at kompetansen er sikret slik at bare de som trenger tilgang til informasjonen får den.
Ansiktsgjenkjenningsteknologi: Skal være forholdsmessig
Vær oppmerksom på at bruken av ansiktsgjenkjenningsteknologi må stå i forhold til formålet med behandlingen. Dette er et personvernsensitivt tiltak. Hvis samme formål kan oppnås på en mindre personvernsensitiv måte, bør ansiktsgjenkjenningsteknologier ikke brukes.
Behandling av personopplysninger ved bruk av ansiktsgjenkjenning
Det finnes en rekke bruksområder der ansiktsgjenkjenning kan være egnet for bruk av bedrifter. For eksempel i:
- Bank og finans, for eksempel når du identifiserer kunder.
- Handel, for eksempel ubemannede treningssentre.
- Flyplasser, for å øke sikkerheten.
1 til 1 verifisering
Ansiktsgjenkjenning kan brukes til å verifisere en fysisk person. Med andre ord er det en lagret biometrisk mal som sammenlignes med en annen mal. Dette skjer for eksempel i noen ubemannede treningssentre, som innrømmer medlemmer til treningsstudioet gjennom teknologi og kamera ved hjelp av ansiktsgjenkjenning ved inngangen. Bildet fra kameraet sammenlignes med bildet av personen som er lagret i databasen, for å finne ut hvor sannsynlig det er at samme person er. Dette kalles «1-1-verifisering».
1 til flere identifikatorer
En annen måte å bruke ansiktsgjenkjenning på er å identifisere personer gjennom «1 til mange identifikasjoner». Med andre ord er det en lagret biometrisk mal som sammenlignes med en rekke personer. For eksempel, hvis en flyplass har en database med biometriske maler av ettersøkte personer og flyplasskameraene har en trent AI-modell for å kunne finne ettersøkte personer blant personer som er til stede på flyplassen.
Risiko ved bruk av ansiktsgjenkjenningsteknologi
Det er flere risikoer forbundet med bruk av ansiktsgjenkjenningsteknologi, og det er nyttig å forstå dem før du bruker den. Her er to risikoområder for ansiktsgjenkjenningsteknologi:
Resultatet er et estimat, ikke en endelig bekreftelse. Med andre ord sammenlignes to biometriske maler mot hverandre, og kvaliteten på disse kan påvirke utfallet.
Det er en risiko for diskriminering og skjevhet hvis for eksempel en AI-modell for ansiktsgjenkjenningsteknologi først og fremst har blitt trent med personer med en bestemt opprinnelse eller utseende.
Juridisk grunnlag for bruk av ansiktsgjenkjenningsteknologi
Et felles rettslig grunnlag for private aktører, for eksempel et selskap, for å støtte behandlingen av ansiktsgjenkjenning er samtykke. Vær imidlertid oppmerksom på at samtykkekravene er høyere enn vanlig, da det gjelder behandling av sensitive personopplysninger. Dette innebærer blant annet at samtykket må være eksplisitt.
Berettiget interesse, som ellers er et felles rettslig grunnlag for mange typer behandling, er ikke hensiktsmessig da det gjelder sensitive personopplysninger og ikke oppfyller noen av unntakene fra slik behandling.
Sikringstiltak for å minimere risikoen ved ansiktsgjenkjenningsteknologier
Hvilke presise garantier et selskap bør implementere for å minimere risikoen for ansiktsgjenkjenningsteknologi, er vanskelig å si, da det er forskjellig basert på omstendighetene og situasjonene i spørsmålet. Dette er noen forholdsregler som kan være hensiktsmessige:
Krypter personopplysninger
Det kan være nyttig å lagre personopplysningene kryptert, slik at en person som har uautorisert tilgang til de biometriske dataene, for eksempel, ikke kan lese hvem de tilhører direkte, uten krypteringsnøkkelen.
Kontroll av kompetanse
Sikre at bare personer som trenger tilgang til personopplysningene som er lagret i depotet, har tilgang til dem.
Gjennomføre og dokumentere en konsekvensutredning
Det kan være hensiktsmessig å gjennomføre og dokumentere en konsekvensanalyse før bruk av ansiktsgjenkjenningsteknologi. I tillegg kan det være nødvendig for selskapet å be om en forhåndskonsultasjon med den nasjonale personvernmyndigheten etter at konsekvensutredningen er gjennomført.
Mer om GDPR
Informasjon om GDPR og AI
AI er et svært aktuelt område som påvirker, eller vil påvirke, mange bedrifter i samfunnet. Teknologien har et stort potensiale, men også mye risiko. GDPR er en viktig forskrift å huske på når du utvikler, leverer eller bruker AI-modeller i EU / EØS, da det vanligvis innebærer behandling av personopplysninger. I tillegg er det i slike tilfeller også viktig å holde EUs AI-lov i tankene.